EU-DSGVO: Effektive Kontrolle über Drittanfragen - Schrems II zwingt Unternehmen zum Handeln

Das Schrems II Urteil setzt Unternehmen unter erheblichen Handlungsdruck – die Übermittlung von personenbezogenen Daten in die USA, bisher durch das Privacy Shield legitimiert, sind nun ungültig. Das im Juli 2020 durch den Europäischen Gerichtshof (EuGH) gefällte Urteil bereitet deshalb vielen Websitebetreibern zunehmend Kopfschmerzen. Sie verlassen sich bei der Erstellung, Gestaltung oder den Inhalten ihrer Website auf viele kostenlose Services, meist aus den USA.

Bekannte und sehr oft eingesetzte Dienste sind die Schriften, Kartendienste von Google oder auch die Möglichkeit, Youtube Videos einzubinden. Diese auf den ersten Blick harmlosen Dienste übertragen i.d.R. die IP Adresse des Besuchers an den Anbieter. Dabei haben Unternehmen oft keinen aktuellen Überblick, welche Dienste verwendet werden.

Websites werden arbeitsteilig betreut. Dabei kommt oft Technologie zum Einsatz, die den modernen Anforderungen nach einfacher Bedienung und Wartung gerecht werden. Content Management Systeme, nutzen beispielsweise frei verfügbare Javascript-Bibliotheken oder werden komplett in der Cloud betrieben. Mit jedem Aufruf der Seite, werden personenbezogenen Information in ein Drittland, wie die USA übertragen.

Bisher reichte es, wenn die jeweiligen Website-Betreiber darüber in ihrer Datenschutzerklärung zumindest informierten. Die unklare Rechtslage zwingt Unternehmen, diese Dienste zu prüfen und ggfs. nach datenschutzkonformen Alternativen zu suchen. Dabei ist sicherzustellen, dass für die übermittelten Daten in ein Drittland ein angemessenes Schutzniveau gewährleistet wird.

Eine Frage der Zuständigkeit – technische Prüfungen erfordern Know-How und sind aufwändig

Die technische Prüfung der durch den Besuch einer Website ausgelösten Anfragen und somit die Übermittlung von personenbezogenen Daten an Dritte – insbesondere in die USA – ist sehr aufwändig, erfordert tiefes fachliches IT-KnowHow und stellt Datenschützer als auch deren Mandanten schnell vor die Frage der Zuständigkeit. Der Datenschutzbeauftrage ist nicht für die Durchführung technischer Datenschutzmaßnahmen zuständig (EU-DSGVO Art. 24. Abs.1), wohl aber für die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften (EU-DSGVO Art. 39. Abs.1b).

Kaum Hilfe seitens des Europäischen Datenschutzausschusses (EDSA)

Der EDSA veröffentlichte vor wenigen Tagen einen 38-seitigen Katalog mit „Empfehlungen“, um das Dilemma der Unternehmen zu lösen. Eine Antwort blieben sie schuldig, insbesondere wenn es um die technisch notwendigen Maßnahmen geht. Vielmehr werden eine Reihe von Ideen eingebracht und Forderungen gestellt, die USA und andere Drittländer mögen ihre Behördenbefugnisse an den EU-Grundrechten ausrichten. Eine Einzelfallbewertung und somit die ständige Überwachung von Datenflüssen in die USA und andere Drittländer bleibt die einzige Lösung, die Webseitenbetreibern geraten wird.

DSGVO Scan – Die effiziente Überwachung für Datenschutzbeauftragte

Mit dem DSGVO Scan können Datenschützer Ihren Mandaten einen schnellen Überblick verschaffen, um Verstöße abzustellen und somit Bußgelder abzuwenden. Bei Aufruf der Website analysiert DSGVO Scan, welche Fremdinhalte zur einer Datenanfrage führen und identifiziert den Serverstandort des anfragenden Dienstes. Diese Prüfung erfolgt in Echtzeit und simuliert, was passiert, wenn Ihre Website von Benutzern mit einem typischen Endnutzerbrowser, wie Google Chrome besucht werden. Beteiligte Entwickler und Marketingverantwortliche sparen sich den aufwendigen Austausch von Checklisten. Datenschutz war nie einfacher.

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Weitere News rund um DSGVO und Datenschutz

Cookie-Banner und PIMS: Was sich durch das neue TTDSG ändern wird

Gut im Bild: So sind Videokonferenzen datenschutzkonform möglich

Vertrauen ist gut – Zertifizierung ist besser

Bleiben Sie auf dem Laufenden